NIST CSF 2.0voluntary · 6 functionsISO 27001international · certifiableCIS Controls v8prioritized · actionableSOC 2B2B vendor trustPCI-DSS / HIPAA / FedRAMPsector-specific

Quadri di sicurezza informatica

12 minimo lettoSicurezza

Ogni organizzazione che prende sul serio la sicurezza alla fine sceglie un framework: NIST CSF, ISO 27001, CIS Controls o uno dei tanti altri. I framework non sono essi stessi strumenti di sicurezza; sono modi strutturati di pensare ai programmi di sicurezza. Sceglierne uno (e capire cosa offre effettivamente) è una decisione strategica chiave.

Il corpo completo dell'articolo è fornito in inglese di seguito.

I framework di sicurezza informatica sono raccolte strutturate di pratiche, controlli e criteri di valutazione che le organizzazioni utilizzano per creare e misurare i propri programmi di sicurezza. Non ti rendono sicuro da soli; forniscono un vocabolario, una lista di controllo e un punto di riferimento. I framework principali hanno origini, destinatari e compromessi diversi.

LI framework principali

  • NIST Cybersecurity Framework (CSF) 2.0. Framework volontario statunitense, ora nella sua versione 2.0 (2024). Organizzato attorno a sei funzioni: Governare, Identificare, Proteggere, Rilevare, Rispondere, Recuperare. Progettato per un'ampia applicabilità in tutti i settori e dimensioni. Gratuito e ampiamente adottato.
  • ISO/IEC 27001. Standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Certificabile tramite audit esterno. Lo standard internazionale per le organizzazioni che desiderano il riconoscimento da parte di terzi del loro livello di sicurezza. Dettagliato; notevole sovraccarico di conformità. Controlli
  • CIS v8. Centro per i 18 controlli con priorità di Internet Security. Pragmatico e tattico: cosa fare effettivamente, classificato in base all'impatto. I gruppi di implementazione (IG1, IG2, IG3) si adattano alla maturità dell'organizzazione. Gratuito.
  • SOC 2. Controllo organizzazione servizio 2 da AICPA. Criteri dei servizi fiduciari riguardanti sicurezza, disponibilità, integrità del trattamento, riservatezza, privacy. Obbligatorio per molti fornitori SaaS B2B.
  • HIPAA Security Rule. Specifico per il settore sanitario statunitense. Richiesto dalla legge per gli enti sanitari che gestiscono PHI.
  • PCI-DSS. Standard di sicurezza dei dati del settore delle carte di pagamento. Obbligatorio per le organizzazioni che gestiscono i dati delle carte. Altamente prescrittivo; copre controlli tecnici specifici.
  • NIST SP 800-53 / 800-171. Catalogo di controllo dettagliato utilizzato dalle agenzie federali e dagli appaltatori federali statunitensi. Il più granulare di tutti: centinaia di controlli specifici organizzati per famiglia.
  • FedRAMP, CMMC. Framework specifici federali statunitensi rispettivamente per servizi cloud e appaltatori della difesa.
  • MITRE ATT&CK. Non un framework di per sé: una tassonomia delle tattiche avversarie. Utilizzato dai team di ingegneria del rilevamento per misurare la copertura.

In che modo differiscono

Le categorie si sovrappongono ma enfatizzano cose diverse:

  • Prescrittivo vs flessibile. PCI-DSS specifica controlli esatti (crittografa i dati dei titolari di carta con algoritmi specifici). Il CSF NIST descrive i risultati ("Proteggere: gestione dell'identità e controllo degli accessi") e consente alle organizzazioni di scegliere come ottenerli.
  • Certificabile vs volontario. ISO 27001 produce un certificato dopo l'audit. NIST CSF viene autovalutato, nessun certificato.
  • Gratuito o a pagamento. NIST e CIS sono gratuiti. ISO 27001 e SOC 2 hanno costi significativi (commissioni di audit, commissioni di certificazione).
  • Specifico per settore rispetto a generale. HIPAA, PCI-DSS si applicano a settori specifici. NIST CSF e ISO 27001 sono di uso generale.
  • Basato sul rischio e basato sul controllo. ISO 27001 inizia dalla valutazione del rischio. I controlli CIS forniscono un elenco di priorità da implementare indipendentemente dal profilo di rischio.

Funzioni NIST CSF 2.0

LIl quadro principale: ciò che la maggior parte dei programmi di sicurezza influenzati dagli Stati Uniti utilizza come riferimento:

  • Governare. Stabilire e monitorare la strategia, la politica e la supervisione della sicurezza informatica. Aggiunto nella 2.0; inserisce la leadership e la gestione del rischio in un ambito esplicito.
  • Identify. Gestione delle risorse, ambiente aziendale, governance, valutazione del rischio.
  • Protect. Gestione dell'identità, controllo degli accessi, sicurezza dei dati, formazione sulla consapevolezza, manutenzione.
  • Detect. Anomalie, continuo monitoraggio, processi di rilevamento.
  • Respond. Pianificazione della risposta, comunicazioni, analisi, mitigazione.
  • Recover. Pianificazione del ripristino, miglioramenti, comunicazioni.

Ogni funzione ha categorie e sottocategorie: centinaia di risultati specifici in totale. Le organizzazioni valutano lo stato attuale e lo stato target in base ai risultati.

Controlli CIS 18

L'approccio CIS è più attuabile:

  1. Inventario e controllo delle risorse aziendali
  2. Inventario e controllo delle risorse software
  3. Protezione dei dati
  4. Configurazione sicura delle risorse aziendali e del software
  5. Gestione degli account
  6. Gestione del controllo degli accessi
  7. Vulnerabilità continua Gestione
  8. Gestione dei registri di controllo
  9. Protezione della posta elettronica e del browser Web
  10. Difese dal malware
  11. Recupero dati
  12. Gestione dell'infrastruttura di rete
  13. Monitoraggio e difesa della rete
  14. Consapevolezza e competenze in materia di sicurezza Formazione
  15. Gestione dei fornitori di servizi
  16. Sicurezza del software applicativo
  17. Gestione della risposta agli incidenti
  18. Penetration Test

LI gruppi di implementazione suddividono i controlli:

  • IG1: minimo essenziale igiene informatica. ~56 garanzie. Per piccole organizzazioni.
  • IG2: controlli aggiuntivi per organizzazioni con dati sensibili. ~131 protezioni.
  • IG3: tutti i controlli. ~153 garanzie. Per le organizzazioni che devono far fronte a minacce sofisticate.

Quale scegliere

La risposta pragmatica dipende dal contesto:

  • Piccola impresa senza pressioni specifiche sulla conformità: CIS Controls IG1. Concreto, gratuito, realizzabile.
  • Azienda statunitense di medie dimensioni con clienti B2B: NIST CSF per programma interno, SOC 2 per la fiducia rivolta al cliente.
  • Impresa internazionale o di grandi dimensioni: ISO 27001 per certificabile credibilità.
  • Appaltatore federale statunitense: Qualunque cosa richieda il contratto, spesso NIST 800-171 o CMMC per lavori DoD.
  • Assistenza sanitaria: La regola di sicurezza HIPAA è obbligatoria; supplemento con NIST CSF o CIS.
  • Elaborazione del pagamento: PCI-DSS è obbligatorio; integrare in modo simile.

La maggior parte delle organizzazioni mature si ritrova con più framework: uno per la struttura interna del programma, uno per la certificazione rivolta al cliente, requisiti specifici del settore stratificati.

Cosa i framework non fanno

Non ti rendono sicuro. Un programma conforme al framework con controlli scarsamente implementati non è migliore di un programma ad hoc con controlli ben implementati. Il quadro fornisce la struttura; l'esecuzione fornisce sicurezza.

Lil classico fallimento: le organizzazioni creano documentazione elaborata per superare gli audit mentre le operazioni di sicurezza reali si atrofizzano. I framework aiutano quando organizzano il lavoro reale; fanno male quando lo sostituiscono.

Domande frequenti

Ho bisogno di un quadro?
Se hai clienti, autorità di regolamentazione o membri del consiglio di amministrazione che ti chiedono come gestisci la sicurezza informatica, sì, avere un quadro di riferimento rende la risposta credibile. Per i programmi puramente interni alle piccole organizzazioni, CIS Controls IG1 è la risposta minima. La maggior parte delle organizzazioni dovrebbe utilizzarne almeno uno.
SOC 2 è uguale a ISO 27001?
Diverso. SOC 2 è basato negli Stati Uniti, in stile attestazione (opinione del revisore sui controlli), spesso richiesto dai clienti aziendali statunitensi. La ISO 27001 è internazionale, in stile certificazione (ISMS certificato), più rigorosa e prescrittiva. Molte aziende fanno entrambe le cose. Inizialmente è più veloce raggiungere SOC 2; La ISO 27001 copre più ambiti.
Quale framework mi offre la sicurezza più effettiva?
Controlli CIS, per reputazione. I controlli sono prioritari in base all’impatto, al concreto e all’attuabilità. La loro attuazione in ordine produce un miglioramento visibile. Il CSF del NIST è più utile per la governance; CIS per le operazioni.
Quanto tempo richiede la certificazione ISO 27001?
In genere 9-18 mesi dall'inizio alla certificazione. Comprende l'analisi delle lacune, l'implementazione del controllo, l'audit interno, l'audit dell'organismo di certificazione (Fase 1 e Fase 2) e la correzione dei risultati. Le organizzazioni più piccole si muovono più velocemente; quelli complessi più lenti.
MITRE ATT&CK è un framework di sicurezza informatica?
Tecnicamente no: è una tassonomia delle tecniche avversarie, utilizzata per misurare la copertura del rilevamento. Spesso utilizzato insieme ai framework. I controlli CIS e il CSF NIST descrivono cosa fare; ATT&CK descrive cosa fanno gli aggressori. I programmi maturi li utilizzano entrambi.
Spiegazione dei framework di sicurezza informatica: NIST, ISO 27001, controlli CIS e perché sono importanti